Meltdown и Linux

Величайший факап в сфере инфобезопасности за последние 20 лет — Meltdown и Spectre — заставил высококлассных спецов по защите данных досрочно выползти из-под новогодней елочки, опохмелиться огуречным рассолом и приступить к созданию заплаток. Какова ситуация с защитой от Meltdown в операционной системе Linux?

Защита KPTI от Meltdown в Linux

Две новости: во-первых, ядро уже заштопали. Более того, его и не особо-то пришлось штопать, так как разработчики Linux всегда крайне серьезно относились к безопасности. Достаточно было немного допилить и активировать технологию Kernel Page Table Isolation (KPTI). В Linux 4.15-rc6 опция включена по умолчанию для процессоров Intel. Когда новшество распространится на конечные дистрибутивы следует узнавать на официальных сайтах дистрибутивов. Оперативнее других сработала компания Red Hat, 3 заплатки уже прилетели через службу обновления. Разработчики других дистрибутивов пока в новогоднем анабиозе, но о проблеме уже знают и уж тем более предупредили пользователей. Разработчики Mint вообще традиционно не парятся о таких пустяках — на сайте Минта нет ни предупреждений о том, что такая проблема существует, ни тем более заплаток. Оно и понятно: поди объясни основной целевой аудитории Минта — школьникам, домохозяйкам и ламерам — о том, что такое Meltdown и почему уязвимость имеет критический статус опасности.

Meltdown и падение производительности в Linux

По-вторых, и это плохая новость, уже проведены тесты производительности ядер с активированной защитой от Meltdown. В синтетических тестах на производительность подсистемы I/O зафиксировано значительное падение показателей. В реальных тестах очень сильно упали СУБД — PostgreSQL, Redis и др. Падение составило до 30%. Почти не изменилась производительность на таких задачах, как компрессия видео и компиляция ядра Linux, что и понятно.

Рост цен на хостинг

Уже сейчас можно сделать один неприятный прогноз, учитывая негативное воздействие патча на производительность серверных приложений — хостинг для сайтов станет медленнее и дороже. Рост цен может составить 10-20%.

Meltdown и перегрев процессоров

На настольных компьютерах тоже не всё прекрасно. Отдельные исследователи выяснили, что заплатка не только снижает производительность, но и заметно разогревает процессор. В некоторых тестах зафиксирован подъем температуры CPU на 10° C.

Отношение к безопасности разработчиков Ubuntu и Mint

Разработчики Ubuntu практически сразу предупредили пользователей об опасности:

Meltdown Ubuntu

У «программеров»-ламаков из команды Mint всё хорошо.

Meltdown Mint

Что лучше: Mint или Ubuntu?

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
1

Пока ещё нет обнародованных случаев использования уязвимости. Возможно, их не было.
Пользователи Минта (домохозяйки, ламеры, пенсионеры) не очень интересны хакерам. Поэтому разработчики этого чудесного дистрибутива не спешат защищать пользователей.

Ваша оценка: Нет Средняя оценка: 4 (4 votes)
a

И я вам скажу даже больше. Все делятся своими успехами использования бага в твиттере и даже репостят друг друга, подтверждая своими примерами.
twitter точка com/brainsmoke/status/948561799875502080
Всего-то возможность читать из абсолютного любого произвольного места адресного пространства из ring-3, минуя всякие защиты страниц.

Ваша оценка: Нет
10
pomodor

Хакерская элита давно об этом знала и активно юзала. Если почитать доки с описанием уязвимостей, то ничего сложного там нет. Неспециалист, разумеется, до такого бы не догадался, а хакер, который зарабатывает поиском дыр себе на жизнь, вполне мог бы найти за пару лет. Проверить кэш процессора на соблюдение ограничений безопасности — вполне себе здравая идея.

Пользователи Минта (домохозяйки, ламеры, пенсионеры) не очень интересны хакерам.

Как раз эта категория наиболее интересна. Деньги в интернете тратят преимущественно домохозяйки, заказывая в интернет-магазинах всякий шлак. А еще домохозяйки не парятся с защитой. И еще эта категория сильнее других подвержена социальному инжинирингу.

Поэтому разработчики этого чудесного дистрибутива не спешат защищать пользователей.

К сожалению, это общее отношение к безопасности "разработчиков" Минта. У них другие приоритеты: главное, чтобы было красиво и как можно проще. Если какая-либо новая фича заставит пользователя напрячь извилину, то от нее отказываются.

Ваша оценка: Нет Средняя оценка: 4.2 (5 votes)
5
Texnoline

Реально хомячки, куда безопаснее — чем банки, корпы и госы, нет СБ, нет власти и денег, чтобы найти кулхацкера;)

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
1

Теперь меня достали графические браузеры с гнилым javascript(ом) и перешёл на links (кстати, сейчас на нём здесь сижу)

Ваша оценка: Нет
10
pomodor

JS не гнилой, а изящный и очень эффективный. Повторюсь, гниль нашли в CPU. Без Meltdown через JS невозможно ничего съединороссить у пользователя.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
1

Зачем повторяться? Тем более у меня AMD, которому Meltdown не страшен, а Spectre работает через JS.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
10
pomodor

Затем, что вы продолжаете рекомендовать полное отключение JS как решение проблемы Meltdown. Ну-ну. Во времена React и Angular, когда 90% кода сайта выполняется на стороне клиента, отказаться от JS. Это, конечно, можно, только большинство сайтов перестанут работать или будут работать с дикими глюками и урезанной функциональностью.

Ну и за JS обидно. Почему вы называете его гнилым? Красивый и элегантный язык, очень эффективный. Гнилой язык — это, например, 1C.

Ваша оценка: Нет Средняя оценка: 3 (2 votes)
1

Сколько раз уже пишу здесь, что я школоло, и иногда могу ошибаться. Повторяю, просто интересуюсь Linux, вантузом не интересуюсь вообще, кроме как троллю виндузятников.

Ваша оценка: Нет
10
pomodor

Самокритично. :) Но я бы не сказал, что вы школоло. Интересоваться проблемами и искать решения — это уже по определению не соответствует тому, что мы привыкли считать школолой (школоло от рус. глупец, необразованный, неумный; неумелый). Так что выше нос! :)

Ваша оценка: Нет Средняя оценка: 4.5 (2 votes)
1

Школоло, от слова "школьник, ученик". И я себя глупцом и неумелым не называл.
И сколько уже прошло времени с создания моей темы http://liberatum.ru/forum/27144
:(

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
10
pomodor

Всё же школьник — это школьник, а школоло — это несколько иное. Школолой можно оставаться и после выпускного, что убедительно доказывают некоторые анонимные комментаторы.

По поводу уведомлений. Знаю, что это очень важно. И первое, что будет сделано — это подписка на уведомления и анальная кара для парсера. Надеюсь, в начале этого года переедем на новую платформу и тогда все пожелания будут реализованы.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
5
Texnoline

на хрен тебе эти браузеры с JS, возьми топор и расхерачь ты этот америкосовский шпион- свой компутер, и сразу беги в церковь имени Кириила Спасителя!;)

Ваша оценка: Нет Средняя оценка: 1 (1 vote)
1

Хватит меня троллить.

Ваша оценка: Нет Средняя оценка: 5 (1 vote)
a

И давно links перестал поддерживать javascript?

Ваша оценка: Нет
1

Разве links поддерживает JS? Не видал ещё. Он сверхлёгкий. Показывает текст HTML, картинки и на этом всё.

Ваша оценка: Нет
a

Русская педивикия утверждает, что поддерживает. Враки, естественно.

Ваша оценка: Нет

Разработчики Mint вообще традиционно не парятся о таких пустяках — на сайте Минта нет ни предупреждений о том, что такая проблема существует, ни тем более заплаток.

Оно и правильно. Это лучше, чем ломать потом голову почему после обновления ядра моя ОС не загружается, как это случилось с Ubuntu 16.04 после прилета патченного от уязвимости ядра..

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
1

Ubuntu 17.10 убивает ноутбуки Леново, превращая их в кирпич. Подробности на Linux TheBest (Обзоры и настройка Linux дистрибутивов). Новую версию 17.10 разработчики обещали выпустить 11 января.
Но прецедент убийства компа дистрибутивом Линукса есть. Сегодня угроблены некоторые модели Леново, а где гарантии, что пропатченная 17.10 не угробит Асер?

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
5
Texnoline

хочешь гарантии, ставь Debian 9.2.1, круче вашей Бубунты, да и плесать с бубном не будешь, над спаленными Леновами и т.д.

Ваша оценка: Нет Средняя оценка: 5 (2 votes)
Отправить комментарий
КАПЧА
Вы человек? Подсказка: зарегистрируйтесь, чтобы этот вопрос больше никогда не возникал. Кстати, анонимные ссылки запрещены.
CAPTCHA на основе изображений
Enter the characters shown in the image.
Linux I класса
Linux II класса
Linux III класса
Счетчики
  • Самый популярный сайт о Linux и Windows 10
  • Индекс цитирования